BALANCE RGPD ¿Qué ha pasado estos dos años?

BALANCE RGPD ¿Qué ha pasado estos dos años?

La notificación de quiebras de seguridad se triplica en 2019

El RGPD ha cumplido dos años de aplicación desde su entrada en vigor el 25 de mayo 2018. Para la ocasión, resulta interesante hacer un balance en base a los diversos informes publicados. La constatación es simple: con un número creciente de solicitudes, la protección de los datos personales penetra cada vez más hondo en el conjunto de las organizaciones tanto públicas o privadas. [1]

Según ha publicado CSO España, “24 meses después de su implantación en Europa, España toma posiciones aventajadas en el cumplimiento respecto a sus socios comunitarios. Sin embargo, su trascendencia requiere de mayores esfuerzos para alcanzar el pico de madurez” [2].

1. Una protección europea de los datos personales en pleno auge

La AEDP (Agencia Española para la Protección de los Datos) publicó en su Memoria que en 2019 se presentaron ante la Agencia 11.590 reclamaciones, un 11% menos que el año anterior. En este descenso hay que tener en cuenta el número de reclamaciones habituales que se presentaban ante la Agencia con anterioridad a la aprobación del RGPD, cuando entro en vigor el nuevo reglamento, en 2018, hubo un importante incremento de reclamaciones gracias a la amplia difusión producida por la puesta en marcha de la nueva normativa [3].

En España, la AEDP tuvo un papel fundamental al publicar en un inicio directrices claras sobre los aspectos básicos de la norma, para luego publicar guías e informes sobre cuestiones más específicas, como en lo que respecta a los aspectos más tecnológicos de esta norma. Así, las medidas de seguridad aplicables a un tratamiento determinado han dejado de tipificarse en categorías cerradas, para quedar al juicio de los responsables de tratamiento, lo que les obliga a realizar una revisión constante de los riesgos. Este método produjo un cierto caos inicial [4], al dar lugar a implementaciones parciales de la normativa de protección de datos para muchas organizaciones.

1.2 Los datos de implantación del RGPD

Según los datos de un informe publicado el pasado mes de noviembre por la consultora tecnológica Capgemini, únicamente el 21% de las empresas españolas consultadas afirmaban en ese momento cumplir totalmente con el RGPD (frente al 78% que preveían que lograrían cumplirlo en junio de 2018). No obstante, podemos considerar que las empresas españolas no están excesivamente rezagadas del 28% de media de empresas que habían logrado adaptarse al RGPD a nivel mundial en esas fechas, el porcentaje más bajo correspondía a las empresas suecas (18%) y los más altos a las del Reino Unido (33%) y Estados Unidos (35%) [5].

En Francia, la CNIL (Commission Nationale de l’Informatique et des Libertés), ha identificado en el transcurso del año 2019 cerca de 14 000 denuncias, es decir un aumento del 27% con respecto al 2018. Según un informe de actividad, este aumento se debe al creciente interés de las personas interesadas (ciudadanos, consumidores, usuarios de servicios públicos) por las problemáticas de protección de la vida privada [6].

Otro hecho significativo que podemos resaltar: en 2019 el 33% de estas quejas serían procedimientos transfronterizos, lo que evidencia una mayor cooperación europea en este ámbito. Las notificaciones de brechas de seguridad trasladadas a inspección han crecido de las 16 de 2018 a las 79 de 2019, lo que supone un incremento de casi un 400%.

Respecto a los procedimientos transfronterizos, destacar que: los casos liderados por la AEPD como autoridad principal han pasado de 15 en 2018 a 21 de 2019 y, en la cooperación como autoridad interesada, se ha pasado de 229 a 565 casos, un incremento del 147%. Asimismo, las entradas recibidas por el procedimiento de cooperación han ascendido hasta las 1.052, con un crecimiento del 68%.

1.3 El RGPD a escala europea

En efecto, el RGPD ha permitido la puesta en marcha de un sistema inédito a escala europea, basado en pilares descentralizados (las autoridades nacionales de protección de datos) que convergen en el seno del CEPD (Comité Europeo de la Protección de Datos, antiguamente G29) para garantizar una investigación y un tratamiento coherentes de este tipo de casos transfronterizos.

En su informe, la Comisión también destaca el aumento de la protección de los datos de carácter personal a nivel internacional, el RGPD ha sido “percibido como una fuerte señal de la UE sobre la defensa y el respeto de su marco jurídico en materia de protección de datos. Este concepto exigente ha inspirado en particular desarrollos legislativos en varias regiones del mundo” como Japón, Benín o Australia.

Sin embargo, todavía quedan tareas pendientes, entre las que podemos destacar la aprobación del todavía “no nato” Reglamento Europeo de e-Privacy, “que debería encontrar su adecuado encaje en el marco general establecido por el GDPR y regular cuestiones fundamentales para las empresas en materia de comunicaciones electrónicas y actividades de marketing digital en general” [7].

2. Adopción de nuevos umbrales de sanción a tener en cuenta

2019 también ha sido marcado por el despliegue del componente represivo del RGPD.

Así, tras las 14.000 denuncias, 8.500 fueron objeto de un tratamiento en profundidad por la Comisión.

La AEDP examina el tema de cada denuncia, eventualmente solicita información adicional al demandante, para luego implementar el modo de acción más apropiado. Por lo tanto, puede actuar ante el responsable del archivo implicado con las siguientes medidas:

• Recordarle sus obligaciones e invitarlo a tomar las medidas necesarias;
• Investigar con mayor precisión las condiciones de implementación (por ejemplo, el periodo de retención de datos);
• Obtener todos los justificantes útiles.

Más allá de las 11.590 reclamaciones tratadas, la AEPD ha aumentado el número de sus controles: como parte de los procedimientos formales se realizaron controles in situ, on line, en audiencia o en base a piezas documentales para garantizar la conformidad de los tratamientos con el RGPD.

Estos controles dieron como resultado sanciones por la formación restringida, algunas de las cuales se hicieron públicas. El número total de multas impartidas en 2019 por la AEPD fueron 112, cuyo importe total asciende a los 6,3 millones de euros.

Esta tendencia debería acentuarse durante el año en curso y el año próximo con muchos proyectos en la mira de la Comisión: open data, elaboración de análisis de impacto o las leyes bioéticas.

3. Identificar su nivel de conformidad y anticipar

Dos años después de la entrada en vigor del RGPD, muchos organismos públicos o privados cuestionan su nivel de conformidad. El tema no es neutro en términos de gestión de los riesgos. Pero eso sería abordar el tema de forma demasiado parcelaria. Según los datos de la AEDP la notificación de brechas de seguridad se triplicó en 2019, para pasar a 1.549 frente a las 547 de 2018.

De hecho, durante estos últimos dos años, los subcontratistas proveedores de soluciones se han enfrentado a auditorías de sus clientes sobre temas del RGPD. Las interrogaciones planteadas en esta ocasión son múltiples: ¿Puede cooperar en la realización de nuestro análisis de impacto? ¿Nos informa sobre su política de seguridad de los sistemas de información? ¿Cuál es su procedimiento en caso de identificar un incidente de seguridad? etc. etc.

Las exigencias de esos mismos clientes, en licitaciones o cualquier proceso de selección, también se han visto reforzadas en el campo del RGPD. Aquí también, el subcontratista debe justificar su nivel de madurez en la materia: responder a los cuestionarios RGPD o formalizar la documentación que acredite las medidas de seguridad implementadas, puede transformarse rápidamente en un verdadero rompecabezas si la empresa no se ha preparado de antemano.

Gracias a la labor del responsable del tratamiento, los Delegados de Protección de Datos (DPD) recientemente designados se han a menudo dedicado a la cartografía de los datos, a establecer el registro de las actividades de tratamiento, al lanzamiento del análisis de impacto sobre los tratamientos de riesgo o aún al despliegue de acciones de concienciación y de formación a los desafíos de la protección de la vida privada.

3. 1 Balance del plan de acción

Después de dos años de ejercicio, es hora de hacer un balance sobre el progreso del plan de acción. Para ello es útil realizar controles internos – o controles realizados por el DPD – que tienen los siguientes objetivos:

• Continuar la sensibilización de los equipos
• Garantizar una lógica de continuidad en el proceso de cumplimiento
• Facilitar los intercambios sobre los nuevos proyectos que potencialmente impacten en la vida privada dentro de la lógica de anticipación del privacy by design
• Documentar las zonas de riesgo y los puntos de progreso para facilitar la fijación de las prioridades y el buen gobierno del organismo.

¿Y tu organización? ¿En qué punto está?

Recuerda que en Escuda somos expertos en seguridad de los datos, si quieres más información no dudes en llamarnos en el 931 931 848 o en contactarnos a través de este formulario.

[1] El 58% de las empresas no cumple con el Registro General de Datos

[2] GDPR, dos años de la norma que revolucionó la protección de datos

[3] Memoria AEPD 2019

[4] Los primeros días de GDPR, a examen

[5] La aplicación del RGPD en su segundo aniversario

[6] Bilan RGPD: +27% de plaintes et 51,4 millions d’euros d’amendes

[7] GDPR: balance de dos años de aplicación práctica